아마겟돈 APT, 새로운 피싱 캠페인에서 감마로드.PS1_v2 첩보 악성코드를 우크라이나에 투하

악명 높은 러시아 국가 지원 해킹 집단, 아르마게돈은 최근 우크라이나 및 유럽 국가 기관을 대상으로 한 피싱 공격에 연루되었으며, 악의적인 활동을 계속하고 있습니다. 최신 CERT-UA 조사에 따르면, UAC-0010으로도 식별되는 아르마게돈 공격자들은 우크라이나를 대상으로 한 또 다른 사이버 공격에서 피싱 이메일을 배포하고 GammaLoad.PS1_v2로 알려진 악성 소프트웨어를 유포하는 모습을 보였습니다.

GammaLoad.PS1_v2 멀웨어 배포를 통한 우크라이나 공격하는 아르마게돈 APT: 공격 분석

우크라이나 보안국(SSU)의 보고서에 따르면 보안 서비스, 아르마게돈 공격자들은 가마레돈 (Eset, PaloAlto 연구자들에 의해) 또는 Primitive Bear (CrowdStrike에 의해)로도 추적되며, 이는 러시아의 연방 보안국에서 우크라이나를 대상으로 한 정보 및 파괴 활동을 수행하기 위해 특별히 구성된 APT 그룹으로 식별되었습니다.

이전 4월의 공격에서 , 사이버 스파이 그룹은 피싱 이메일을 통해 GammaLoad.PS1 멀웨어를 배포하고 악성 VBScript 코드를 활용한 감염 체인을 배포했습니다. 한 달 후, 아르마게돈 APT의 또 다른 피싱 캠페인은 GammaLoad.PS1_v2로 식별된 업그레이드된 멀웨어 버전을 우크라이나를 대상으로 적용했습니다., the cyber espionage group leveraged the GammaLoad.PS1 malware delivered via phishing emails and deployed through an infection chain using the malicious VBScript code. One month later, yet another phishing campaign by Armageddon APT targeting Ukraine applies the updated malware version identified as GammaLoad.PS1_v2. 

피싱은 러시아와 연계된 아르마게돈 APT 그룹의 가장 선호되는 공격 벡터로, 가장 최근의 캠페인에서도 예외는 아닙니다. 이번에는 아르마게돈 그룹은 이메일 제목과 파일 이름을 피싱 미끼로 사용하고 악성 첨부 파일을 사용하여 감염 체인을 유발하는 그들의 일반적인 적수 방법을 선택했습니다. CERT-UA 연구에 따르면, 이러한 피싱 이메일은 HTM 첨부 파일을 포함하여 전달되며, 이를 열면 바로 LNK 파일의 바로가기를 포함한 RAR 아카이브를 생성하게 됩니다. 후자는 실행 및 HTA 파일을 실행할 수 있으며, 이는 결국 타겟 컴퓨터에 GammaLoad.PS1_v2를 배포하게 됩니다.

아르마게돈 APT 사이버 공격 탐지를 위한 Sigma 규칙

아르마게돈 APT(UAC-0010)에 의한 피싱 사이버 공격으로부터 조직을 선제적으로 방어하도록 돕기 위해, SOC Prime는 적절한 사용자 지정 태그로 필터링된 경고 및 쿼리를 포함한 고유한 Sigma 규칙 세트를 제공합니다. #UAC-0010 내용 검색을 간소화하기 위해:

아르마게돈 그룹(UAC-0010)의 악성 활동을 탐지하기 위한 Sigma 규칙

탐지 엔지니어는 기존 계정으로 SOC Prime 플랫폼에 로그인 후 가장 관련성 있는 규칙을 케이스별, 콘텐츠 유형, 로그 소스 제품 또는 카테고리, 이벤트 ID와 환경에 맞춘 기타 데이터 소스를 선택하여 이 포괄적인 콘텐츠 항목 리스트를 접할 수 있습니다.

MITRE ATT&CK® 컨텍스트

적수 행동 패턴에 집중한 통찰력 있는 분석을 위해, 아르마게돈/UAC-0010 해킹 집단의 악성 활동을 탐지하기 위한 모든 Sigma 규칙은 해당 전술 및 기술을 다루는 MITRE ATT&CK와 정렬되어 있습니다.